E安全10月10日讯 “云安全联盟”（Cloud Security Alliance,CSA）近日发布新报告，提出从一开始保护物联网设备的建议。

一年多以前，一份有关网络安全的RAND公司研究让人大开眼界，该研究全面探索了物联网的脆弱程度。报告发现并预测，物联网设备存在事后补丁安全以及在重大漏洞风险。自那以后，应如何满足日后全球数十亿联网、智能、廉价传感器的安全需求成为日益关注的问题。

云安全联盟于10月7日发布的长达80页的指南，指出物联网安全的必要性。

原因：随着关键国家基础设施逐渐依赖物联网，汽车日益联网，物联网能被用来发起DDoS攻击。此外，无人机正“迈入”主流地位，并被作为侦察平台，物联网产品一般会“影响隐私。”

作为云安全认证提供商，云安全联盟参与提升云内最佳安全实践，其成员包括大型云提供商。

开发阶段构建安全

云安全联盟在新的物联网建议中指出，以安全开发方法起步是关键。这就意味着开发人员必须从一开始就满足联网设备的安全要求和过程。开发人员应该谨慎。物联网时常物理暴露在不完全的环境中，这就意味着不应只在通信层面实现安全。请注意，设备会被物理窃取，例如，共享密钥被解除。

云安全联盟称，安全对许多小型设备制造商而言是一个全新的概念。这也许就是密码在物联网领域运用欠佳的原因之一。

云安全联盟还指出，“安全不是商业驱动力。标准的缺失，以及缺乏了解安全的物联网问题发现专家使问题加剧。”物联网设备价格低廉也是问题所在。这就意味着黑客能轻而易举获取产品进行研究。另外，嵌入式系统内的资源限制局限了安全选择，例如，处理能力欠佳。

除了上述安全开发方法，云安全联盟还指出，应评估编程语言并寻求这些特定语言的安全指南。切记，查看在智能手机上运行的应用程序。

首先，还应评估架构和平台的安全特性。

云安全联盟指出，此外还必须建立隐私保护。这包括收集必要的数据（最少量）。云安全联盟强调硬件还必须具备基于硬件的安全控制，这意味着阻止黑客从内部硬件组件提取数据。

网络通信协议便随之应运而生，其包含安全启示。必须保护数据。云安全联盟的报告包含不同类型通信网络的综合纲要，以及这些网络如何在物联网安全设备中发挥作用。

此外，还必须保护API免受DDoS攻击，必须安全升级设备防止固件被修改。授权必须优先避免凭证被窃。此外，必须安全管理密钥。

考虑到日志机制对了解设备访问人员尤为重要。最终，云安全联盟建议进行安全审查。云安全联盟表示，开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）提供反馈与优化工具。

下载链接：https://www.easyaq.com/

或在E安全微信公众号回复“CSA物联网安全指南”获取。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。